6.66 сервер (server): Компьютер, действующий как поставщик некоторых услуг, таких как обработка коммуникаций, интерфейс файловой памяти или печатное устройство для других компьютеров.

6.67 регистрация (sign-on): Завершение идентификации и аутентификации пользователя.

6.68 разделенное знание (split knowledge): Разделение критичной информации на множество частей таким образом, чтобы требовалось наличие минимального числа частей, перед выполнением какого-либо действия.

П р и м е ч а н и е. Разделенное знание часто используется для осуществления двойного контроля.

6.69 карточка хранения ценностей (stored value card): Устройство, позволяющее хранить и осуществлять операции с электронными деньгами.

6.70 системный риск (systemic risk): Риск того, что неспособность одного из участников выполнить свои обязательства или нарушения в функционировании самой системы могут привести к неспособности других участников системы или других финансовых учреждений в других частях финансовой системы выполнять свои обязательства при наступлении срока платежа.

П р и м е ч а н и е. Такая несостоятельность может вызвать распространение проблем с ликвидностью или кредитами и в результате поставить под угрозу стабильность системы или финансовых рынков.

[CPSS, Ключевые принципы для системно значимых платежных систем]

3.71 угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации.

[ИСО/МЭК 13335-1:2004, определение 2.25]

3.72 средство идентификации (token): Контролируемое пользователем устройство (например, диск, смарт-карта, компьютерный файл), содержащее информацию, которая может использоваться в электронной торговле для аутентификации или управления

доступом.

3.73 идентификатор пользователя (user ID): Строка символов, которая используется для однозначной идентификации каждого пользователя системы.

3.74 уязвимость (vulnerability): Слабость одного или нескольких активов, которая

может быть использована одной или несколькими угрозами.

[ИСО/МЭК 13335-1:2004, определение 2.26]

4 Обозначения и термины, приведенные в сокращении

ATM Банкомат

CEO Главный исполнительный директор

CFO Главный финансовый директор

CIО Главный директор по информационным технологиям

CISO Директор по информационной безопасности корпорации

COO Главный операционный директор

CPSS Комитет по платежным и расчетным системам

CTO Главный технический директор

DMZ Демилитаризованная зона

EFT Электронный перевод средств

FTP Протокол передачи файлов

HTTP Протокол передачи гипертекста

HTTPS Протокол защищенной передачи гипертекста

ICT Информационно-коммуникационные технологии

IDS Система обнаружения вторжений

IP Протокол Интернет

IPSEC Протокол IPSec

ИТ Информационная технология

LAN Локальная сеть

LEAP Упрощенная расширяемая агентная платформа

MAC Код аутентификации сообщений

ОС Операционная система

ПК Персональный компьютер

PDA Персональный цифровой секретарь

PEAP Защищенный расширяемый протокол аутентификации

PIN Личный идентификационный номер

POTS Обычная телефонная сеть

RF Радиочастота

SMTP Простой протокол электронной почты

SSH Вид терминального доступа к серверному компьютеру c большей степенью защищенности сеанса связи

SSL Протокол защищенных сокетов

USB Универсальная последовательная шина

VPN Виртуальная частная сеть

VTAM Виртуальный телекоммуникационный метод доступа

WAN Глобальная сеть

Wi-Fi Стандарт Wi-Fi на беспроводную связь

WS Веб-сервисы

XML Расширяемый язык разметки

5 Политика информационной безопасности организации

5.1 Назначение

Все учреждения финансовых услуг сегодня в значительной степени зависят от использования информационной технологии (ИТ) и информационно-коммуникационных технологий (ИКТ) и, следовательно, нуждаются в обеспечении защиты информации и менеджменте безопасности своих информационных активов. Обеспечение информационной безопасности, и менеджмент информационной безопасности должны стать важным компонентом плана менеджмента в организации для выполнения руководством своих обязанностей.

Разработка программы обеспечения информационной безопасности является разумной бизнес-практикой, которая поможет учреждениям финансовых услуг идентифицировать и осуществлять менеджмент риска. Данный Технический Отчет предлагает общий, основанный на политике подход к менеджменту информационной безопасности и представляет рекомендации, которые могут быть приспособлены для соответствия бизнесцелям организации. Бизнес-целям должны способствовать политики и процедуры для обеспечения защиты активов ИТ. Основанный на политике подход применим к учреждениям разной величины, с различными стилями управления и разными организационными средами.

Данный Технический Отчет предназначен для предоставления рекомендаций – а не конкретных решений – по аспектам менеджмента информационной безопасности и для оказания содействия руководству учреждения финансовых услуг в разработке и поддержке программы обеспечения информационной безопасности. Другие упоминаемые источники, особенно ИСО/МЭК 17799, предоставляют важную подробную информацию общего назначения, которая окажет неоценимую помощь в вопросе внедрения и поддержки. Однако в данном Техническом Отчете обращается внимание на особые правовые и нормативные требования, которые должны учитываться финансовыми учреждениями при создании основанной на политике программы менеджмента информационной безопасности.

5.2 Правовое и нормативное соответствие

5.2.1 Общая информация

Нормативные органы в основном занимаются вопросами безопасности, устойчивости и соблюдения законов и положений. Одним из элементов безопасности и устойчивости является система защитных мер организации, которая обеспечивает защиту информации от недоступности, несанкционированного изменения, раскрытия и уничтожения.

Последние национальные и международные законы, такие как Базель II, закон Сэрбэйнс-Оксли (SOX), закон Грэма-Лича-Блили (GLB) [22] и Европейская директива 95/46/ЕС, определили среду правового и нормативного риска для мировых поставщиков финансовых услуг. Политика безопасности организации должна учитывать этот тип риска.

Служащие по обеспечению соответствия должны работать вместе с руководителем службы по информационной безопасности организации, финансовым директором, управляющими делами, лицами, занимающимися менеджментом риска, и аудиторами над обеспечением того, чтобы требования информационной безопасности, выведенные из национальных и международных законов и положений, были рассмотрены и понятны.

Служащие по обеспечению соответствия должны также оставаться в курсе новых технологий или методологий, которые могут стать объектом регулирования, например, соответствие заранее определенным классам функциональных возможностей для продукции информационной технологии.

5.2.2 Требования к финансовым учреждениям

5.2.2.1 Обзор

Для учреждений финансового сектора существуют некоторые правовые и нормативные требования, которые оказывают влияние на безопасность ИТ и должны соблюдаться. Неотъемлемая проблема состоит в том, что эти требования различаются в разных странах. Хотя Европейский Союз проложил путь к правовому выравниванию, все еще существуют национальные положения, требующие особого внимания.

В приведенном ниже рассмотрении в каждом подпункте будет описываться наиболее важные законы с точки зрения поставщика финансовых услуг, действующего в глобальных условиях. Описание законодательной среды разбито на три раздела: организационное управление, защита данных (неприкосновенность частной жизни) и законодательство финансового сектора, характерное для поставщиков финансовых услуг (например, законы, касающиеся отмывания денег). Описание нормативной среды сосредоточено на требованиях финансовой отчетности и рекомендациях соглашения Базель II, которые можно получить на сайте Банка международных расчетов [19], Базель, Швейцария, http://www. bis. org/bcbs/publ. htm.

5.2.2.2 Правовые требования

5.2.2.2.1. Руководство организации

В последние годы многие национальные и региональные законодательные органы выдвинули законы, рассматривающие вопрос руководстве организации. Среди них известны следующие: закон Сэрбэйнс-Оксли (SOX) в Соединенных Штатах, закон Kontrolleund Transparenz Gesetz (KonTraG) в Германии и проект директивы Европейского Союза о Руководстве .Организации. Эти три закона изменили панораму правовых рисков, с которыми сталкиваются поставщики финансовых услуг.

Закон Сэрбэйнс-Оксли требует, чтобы все компании, ведущие свободную торговлю на фондовых биржах США, предоставляли свидетельство того, что у них имеются адекватные средства контроля, для финансовой отчетности. Говоря более подробно, закон Сэрбэйнс-Оксли обязывает главного исполнительного директора и финансового директора такой компании производить оценку эффективности внутренней системы контроля организации, а также четко подписывать и принимать на себя ответственность за ежегодные финансовые отчеты организации. В отношении ИТ для этого требуется, осуществление оценки и контроля функционирования критических бизнес-приложений и связанных с ними рисков. Подводя итоги, весь жизненный цикл таких приложений – от первоначальной разработки до обеспечения непрерывности бизнеса – должен оцениваться и контролироваться, чтобы гарантировать наличие адекватных защитных мер. Хотя этот закон является национальным по своему происхождению, он применим к любой компании, чьи акции свободно продаются в США.

Немецкий закон Kontrolle - und Transparenz Gesetz (KonTraG) требует от организации внедрения внутреннего процесса мониторинга, определяющего внутренние разработки и решения, которые могут представлять высокий уровень риска для этой организации. Неявным образом это означает, что руководство должно внедрять внутреннюю систему менеджмента риска в масштабе организации. Он также обязывает руководство сообщать об идентифицированном серьезном риске в своей системе отчетности (представляемой дважды в год и ежегодно). В отношении ИТ в нем рассматривается тот же аспект, что и в законе Сэрбэйнс-Оксли. Однако, поскольку немецкие компании, ведущие свободную торговлю, имеют двухуровневый совет директоров, это вводит в действие более строгую систему отчетности совета директоров наблюдательному совету. Несоответствие этому закону может приводить к снижению банковского рейтинга организации и, следовательно, может оказывать влияние на процентные ставки за кредиты.

Европейский Союз (ЕС) разрабатывает проект директивы, которая окажет влияние на национальное законодательство ЕС: от всех компаний, чьи акции зарегистрированы на фондовой бирже, требуется публикация отчета о управлении организации. Этот отчет должен содержать подробности о совете директоров, его решениях, финансовом положении и соблюдении национального законодательства. Этот отчет должен также включать результаты независимых аудитов. Эта директива имеет похожие следствия для ИТ, что и у законов Сэрбэйнс-Оксли и Kontrolle - und Transparenz Gesetz (KonTraG). Существуют и другие национальные законы, охватывающие эту тему, но ни один из них не является настолько строгим, чтобы оказывать влияние на директиву ЕС.

5.2.2.2.2. Защита данных (неприкосновенность частной жизни)

Вопрос защиты данных привлекает все больше и больше внимания, что обусловлено различными законами регионального, национального и государственного уровня. Эти законы инициированы тем, что Интернет и его использование представляют дополнительные риски, касающиеся злоупотребления в этой сфере, и что люди, использующие эту среду, нуждаются в соответствующей защите.

Закон Грэма-Лича-Блили (GLB) предназначен для защиты информации потребителей, хранимой финансовыми учреждениями. Он требует, чтобы эти учреждения предоставляли своим клиентам уведомление о неприкосновенности частной жизни, объясняющее практические приемы учреждений в отношении коллективного использования информации. В свою очередь потребители имеют право ограничить некоторое – но не все – коллективное использование своей информации. Закон также требует, чтобы финансовые учреждения защищали информацию, собранную об отдельных лицах; он не относится к информации, собранной в ходе коммерческой или бизес-деятельности. Федеральная торговая комиссия (FTC) опубликовала набор стандартов, который должен применяться для обеспечения соответствия закону Грэма-Лича-Блили.

Европейская директива 95/46/ЕС представляет собой совместное усилие по достижению неприкосновенности частной жизни для всех стран-участниц на высоком уровне. Она защищает информацию о физических лицах во время всего жизненного цикла обработки. Проще говоря, она требует, чтобы учреждение запрашивало разрешения в случае, если информация используется образом, отличным от официального предназначения (и заявления). Она также ограничивает передачу данных теми странами, где обеспечивается адекватная защита данных. В общем, физические лица должны давать явное разрешение (на участие), чтобы разрешить дальнейшую обработку. Это противоречит процедуре в США, где физических лиц запрашивают об отказе от участия с целью запрещения дальнейшей обработки. Эта директива внедряется в национальное законодательство во всех странах-членах ЕС.

Швейцарский закон о защите данных сходен с законами, существующими в других европейских странах. Он упоминается здесь по двум причинам: Швейцария не является частью Евросоюза и, следовательно, он должен быть упомянут. С другой стороны, швейцарский закон запрещает передачу личных данных в другие страны при отсутствии адекватной защиты, и требует от передающей организации информировать правовой орган о передаче. Другим важным законом, связанным с финансовыми учреждениями, является закон о тайне вкладов клиентов швейцарского банка (Schweizer Bankkundengeheimnis), обеспечивающий безусловную защиту информации о клиентах, хранимой банками.

5.2.2.2.3. Отмывание денег

Почти все страны имеют какие-либо законы по отмыванию денег, которые обычно означают, что перевод денег, превышающий определенную сумму, должен быть изучен для проверки его источников и адресата. Еще в 1990-х годах такие законы не имели бы явного отношения к безопасности, так как они могли быть внедрены в действие независимо от каких-либо вопросов безопасности.

Террористические атаки, совершенные в США 11 сентября 2001 года, ясно показали важность законов, направленных против отмывания денег, и связанных с ними мер управления.. Эти атаки стимулировали даже большее осознание важности сотрудничества в сфере борьбы с отмыванием денег по всему миру. Это осознание оживило международное сотрудничество и привело к значительным изменениям законов, направленных против отмывания денег, которые вносят свой вклад в способность мирового сообщества отслеживать денежные средства тех, кто финансирует международный терроризм.

С 2001 года Соединенные Штаты продолжают энергичную межведомственную международную обучающую программу по борьбе с отмыванием денег, чтобы улучшить международные усилия по борьбе с отмыванием денег и финансовыми преступлениями. Другие правительства и международные организации тоже усилили свои программы, направленные против отмывания денег. Европейский Союз расширил свою директиву по борьбе с отмыванием денег и наложил направленные против отмывания денег обязательства на "гейткиперов", профессионалов, таких как юристы и бухгалтеры, которые способствуют вложению "грязных денег" в финансовую систему. Продолжают эффективно работать региональные организации по борьбе с отмыванием денег в Европе, Азии и странах Карибского бассейна и начинают действовать зарождающиеся региональные организации по борьбе с отмыванием денег в Южной Америке и Африке.

Главное внимание в сфере борьбы с отмыванием денег в этом году сосредоточилось на работе Финансовой оперативной группы (FATF), всемирно признанной многосторонней организации по борьбе с отмыванием денег, которая продолжила свою работу с несотрудничающими странами и территориями. После 11 сентября 2001 года FATF быстро среагировала и созвала чрезвычайное пленарное совещание по вопросу финансирования терроризма, которое приняло решение расширить свою задачу за рамки борьбы с отмыванием денег и сосредоточить свою энергию и опыт на мировых усилиях по борьбе с финансированием терроризма. С этого времени FATF приняла восемь специальных рекомендаций по вопросу финансирования терроризма.

Террористические атаки послужили сильным толчком многим странам к внесению изменений в законы по борьбе с отмыванием денег и их усилению. В Соединенных Штатах закон об объединении и укреплении Америки путем обеспечения соответствующих средств, необходимых для препятствования терроризму от 2001 года ("USA PATRIOT") внес значительные изменения в систему борьбы с отмыванием денег в США. Новые широкие полномочия, предоставленные этим законом, окажут существенное влияние на взаимоотношения между финансовыми учреждениями США и их индивидуальными клиентами и клиентами на уровне учреждений.

Программа менеджмента информационной безопасности может помочь финансовым учреждениям разрушить схемы отмывания денег. И что более важно, эти программы могут использоваться для демонстрации правоприменяющими организациями, что финансовое учреждение соблюдает соответствующее законодательство, и предоставить документацию, о том, что он систематически и активно принимает меры для соблюдения законодательства.

5.2.2.2.4. Законы, касающиеся финансовых рынков

Большинство законов, регулирующих финансовый сектор, в основном определяет обязанности финансового учреждения. Это включает в себя обязательство по предоставлению квалифицированных услуг. Некоторые органы федеральной власти интерпретируют это обязательство таким образом, что оно распространяется на всю полноту используемых услуг ИТ. Следующие национальные законы указывают на конкретные вопросы безопасности ИТ.

По аргентинскому банковскому законодательству, финансовые учреждения должны включать в свой состав руководителя службы обеспечения информационной безопасности (ISO), который предоставляет ежегодный отчет Центральный банк (цб) Аргентины. Отчет должен отражать, как устанавливаются и осуществляются внутренние меры управления финансового учреждения для обеспечения надлежащих услуг.

Директива Евросоюза 82/121/ЕЭС регулирует отчетность финансовых учреждений.

Она была недавно обновлена для осуществления более регулярной отчетности на всей территории Евросоюза. Директива Евросоюза 2000/31/ЕС (об электронной торговле) предписывает правовую структуру для электронной торговли, которая среди прочего должна включать в себя вопросы неприкосновенности частной жизни клиентов, регулирование вопросов спама, налогообложение, электронные контракты и их обработку, конфиденциальность передачи информации. Она также определяет кодекс поведения, как средство обмена информацией о правах, задействованных экономических объектов.

Немецкий закон Kreditwesengesetz (KWG) регулирует практически все вопросы, характерные для финансовых учреждений в Германии. Он определяет, как должны функционировать банки, кому разрешается возглавлять финансовое учреждения, что должно содержаться в отчетности и т. д. Три параграфа этого закона представляют особый интерес. В первом, рассматривается проблема автоматического доступа к данным клиентов финансовым органам (§ 24c), который требует наличия дополнительных мер безопасности. Во втором, (§ 25a) определяются особые обязательства, которые должны выполнять финансовое учреждение, охватывающие такие вопросы, как менеджмент внутреннего риска, меры безопасности и внутренний аудит, а также его сотрудничество с надзорными органами. Наконец, существуют предписания на случай невыполнения финансовым учреждением или его руководством своих обязательств, что может привести к тому, что руководство утратит право ведения бизнеса в финансовом секторе.

5.2.2.3 Нормативные требования

Две темы нормативных требований к финансовым учреждениям являются здесь очень актуальными. Первая тема касается обязательств учреждения по финансовой отчетности (обычно надзор осуществляется национальными финансовыми органами). Второй темой является обязательство финансовой устойчивости, которое описывается в соглашениях Базель II Банка международных расчетов (BIS – смотри http://www. bis. org/bcbs/index. htm). Эти требования включают в себя необходимость рассмотрения финансовым учреждением операционных рисков.

Базельский комитет по банковскому надзору формулирует широкие рекомендации, касающиеся стандартов, принципов и лучших практических приемов надзора. Комитет надеется, что национальные финансовые органы предпримут шаги по внедрению этих рекомендаций посредством подробных мероприятий – предусмотренных законом или иным способом – которые лучше всего соответствуют их национальным системам. Нормативные требования приводят к необходимости проведения аудита финансовых учреждений. Для ограничения нарушений, которые могут причинять аудиты обычным бизнес-операциям, финансовые учреждения должны ввести системы (внутреннего аудита, менеджмента информационной безопасности и т. д.), которые без труда предоставят нормативным органам все необходимое для проверки, чтобы удостовериться, что финансовое учреждения соответствует требованиям.

Каждое финансов учреждение должно интерпретировать "операционный риск" в показателях собственной бизнес-деятельности и определить риски, которым оно подвергается. Анализ операционных рисков должен включать в себя мошенничество и преступную деятельность, сбои системы, человеческий фактор, природные бедствия и террористические акты. Цунами, вызвавшее большие человеческие жертвы и разрушения в Азии в декабре 2004 года, и террористические атаки в сентября 2001 года, нацеленные на индустрию финансовых услуг в Нью-Йорк Сити, являются примерами событий с крайне низкой степенью вероятности. Но такие события случаются и должны приниматься во внимание.

Соглашение "Базель II" настаивает на необходимости проведения учреждением систематического анализа риска. Для управления непредвиденными обстоятельствами необходимо использовать как качественные, так и количественные методы, а выбор средств контроля для индивидуальной организационной единицы должен основываться на анализе стоимости и эффективности, который рассматривает вероятность непредвиденного обстоятельства, его вероятную частоту, прогнозируемые потери и влияние на бизнес-операции в случае, наступления события. Отметьте, что существует различие между банковским надзором для обеспечения финансового благосостояния банков и банковским контролем, который рассматривает системы финансовых учреждений с точки зрения операционного риска. Этот контроль основан не на соглашениях Базель II, а на Ключевых принципах Банка международных расчетов (смотри http://www. bis. org/publ/bcbs49b. pdf), которые направлены на системно значимые платежные системы. Платежные системы, которые классифицируются как "системно значимые" для благополучия и нормальных операций финансовых рынков, должны соответствовать всем десяти ключевым принципам. "Значимые системы" должны соответствовать только, по крайней мере, семи ключевым принципам. Для других платежных систем требования соответствия ключевым принципам различаются, но финансовые учреждения могут использовать свое соответствие как рекламный момент, так как соответствие рассматривается как мера качества.

5.3 Разработка

После определения целей информационной безопасности организации и оценки воздействия положений и законодательства необходимо разработать план действий, согласующийся с установленными бизнес-целями. План должен использоваться как "путеводитель" для разработки политики информационной безопасности организации (Политики).1

Важно, чтобы организация разработала Политику и чтобы она принимала в расчет цели организации и ее конкретные аспекты. Политика безопасности должна согласовываться с бизнесом организации, культурой, нормативной и правовой обстановкой, в которых действует предприятие. Разработка Политики необходима для целесообразности и

1 В данном документе термин "Политика" является синонимом термина "политика информационной безопасности организации".

эффективности процесса менеджмента риска программы обеспечения. Для разработки и эффективного внедрения Политики нужна поддержка руководства во всей организации.

Подстроив политику безопасности к бизнес-целями организации, Политика будет способствовать наиболее эффективному использованию ресурсов и обеспечит последовательный подход к обеспечению безопасности во всем спектре разных видов сред информационных систем.

5.4 Иерархия документации

5.4.1 Общий обзор

5.4.1.1 Общая информация

В настоящем стандарте приводятся три уровня документации программы обеспечения информационной безопасности. Эти три уровня состоят из документации политики информационной безопасности организации (Политики), документации практических приемов обеспечения безопасности и документации операционных процедур обеспечения безопасности.1 Иерархия документации и значение каждого уровня показаны на рисунке 1.

Документы, относящиеся к информационной безопасности, должны охватить как высокоуровневые цели организации, так и конкретные относящихся к безопасности настройки устройств, которые реализуют политику безопасности. Этот диапазон между общей и конкретной информации лучше всего представить несколькими уровнями документации. Число уровней должно быть сведено к минимуму, и данный стандарт рекомендует три уровня: документации - Политики, документация практических приемов обеспечения безопасности и документация операционных эксплуатационных процедур безопасности По мере внедрения в организации новой прогрессивной технологии потребуются дополнительные документы. В то время, как документация Политики обычно будет пред-

1 Номенклатура и иерархия не являются фиксированными. Организации могут использовать больше уровней иерархии и различную номенклатуру.

ставлена одной страницей, документация процедур может состоять из нескольких многостраничных документов, представляющих отдельные, специфические условия, организационные единицы и вопросы политики в организации. В некоторых случаях отдельная, вполне ограниченная система может также иметь собственную документацию практических приемов. Все практические приемы и процедуры должны перетекать с более высокого уровня к детальному уровню, поддерживая согласованность с оценками риска организации и общей Политикой.

5.4.1.2 Политика информационной безопасности организации

Документ Политики является наименьшими по объему из всех документов в иерархии документов программы обеспечения информационной безопасности. Обычно Политика излагается в нескольких параграфах, объясняющих, что руководство рассматривает

информацию в любой форме как ценный ресурс организации, который нуждается в защите. Политика должна быть широкой по масштабу и сформулированной как можно более

просто и сжато, но она должна предоставлять конкретную информацию об активах, нуждающихся в защите, например, данные о клиентах, данные о сотрудниках, партнерские

соглашения и процессы. Например, очень простая документация Политики может содержать единственное утверждение: "Конфиденциальность, доступность и целостность

всех информационных активов организации должны быть обеспечены посредством

соответствующих защитных мер".

Документация Политики – это абстрактная документация, всеобъемлющая по своему масштабу и наиболее важная из документов программы информационной безопасности по своему воздействию на организацию. Только единственный вариант документации Политики должен существовать в любой данный момент, и он должен быть распространен по всей организации. Он должен быть подписан членами правления, связанными с информационной безопасностью, например, главным исполнительным директором (CEO) и руководителем службы обеспечения информационной безопасности(CIO).

Документ Политики должен быть открытым по своему характеру, широко распространенным и доступным всем заинтересованным сторонам организации. В нем необходимо подчеркнуть, что защита и обеспечение информационных активов являются обязанностью руководства и всех служащих и что обучение и обеспечение осведомленности в области безопасности поручено руководству на самом высоком уровне.

Всем заинтересованным сторонам должно быть ясно, что документ Политики получает свои полномочия непосредственно от должностных лиц организации и персонала на

уровне правления. В документе должно быть заявление о намерении организации действовать в согласии с соответствующими местными и международными правовыми и нормативными структурами и основывать свою программу информационной безопасности на

твердых принципах и практических приемов, признанных в национальных и международных стандартах по безопасности.

Документ Политики должен быть практически неизменным. Его изменение должно быть обусловлено изменениями стратегических целей, изменениями воспринимаемого бизнес-риска или событиями, влияющими на нормативную и правовую обстановку, в которой функционирует организация. Должностные лица организации и персонал на уровне правления должны предписывать процедуры и параметры управления изменениями.

5.4.1.3 Представительство

В разработке Политики должны принимать участие представители различных видов деятельности. Группа разработки должна включать в себя членов совета директоров, административных лиц, представителей юридической службы
, членов комитета по менеджменту риска и аудиторского комитета. Формулируя политику, группа разработки должна получить данные от специалистов всего предприятия, например по финансам, физической безопасности и информационным технологиям.

5.4.1.4 Классификация информации

Одним из аспектов реализации Политики является классификация информации. Во многом подобно "Совершенно секретным", "Секретным" и "Несекретным" военным системам финансовые организации имеют информацию различной ценности. Результаты классификации информационных активов будут показывать, когда следует внедрять хорошие, лучшие или наилучшие меры управления. Существует много типов системы классификации. Важным моментом для финансовой организации является определение классификационных уровней и использования классификации информации в вынесении решений о принятии риска. Например, риск, являющийся приемлемым для общественной

информации, вероятно, будет неприемлемым для крайне секретной информации. Выгода классификации информации заключается в обеспечении поддержки руководству в отношении того, как служащие должны обращаться с информацией. Если документ, файл или база данных содержат информацию, относящуюся к различным классификационным уровням, с ними следует обращаться в соответствии с процедурами, установленными для наивысшего классификационного уровня содержащейся в них информации.

Важно отметить, что классификационный уровень информации может меняться во время срока ее полезной службы. Эти изменения должны контролироваться согласно Политике организации.

5.4.2 Документы практики обеспечения безопасности

Документы практики обеспечения безопасности получены из содержания документации Политики. Эти документы определяют общие стандарты безопасности, которым должна следовать организация. Они отражают намерения и цели, установленные руководством самого высокого уровня при создании программы информационной безопасности, и документируют намерение реализовать политику независимым от технологии образом. Каждый документ практики обеспечения безопасности уже по своему масштабу значительно превышает документацию Политики. Каждый документ практики является технологически нейтральным и емкой формулировкой требований безопасности организации. Размер данного документа практики является переменным и зависящим от темы.

Число документов практики должно быть сведено к минимуму. Число необходимых документов различается в зависимости от величины организации и ее бизнес-потребностей, а также объема и сложности деятельности организации. Правовая и нормативная обстановка, оказывающая воздействие на организацию, может также влиять на число необходимых документов практики.

Документ практики не является общественным.1 По своему характеру этот документ общего назначения является технологически нейтральным. Он менее абстрактный, чем документ Политики, и может оказывать меньшее влияние на всю организацию, поскольку применим только к некоторым аспектам организации. Например, очень простой документ практики может содержать простое утверждение:

"Аутентификация доступа к информационным активам организации должна осуществляться в соответствии с уровнем конфиденциальности активов. Аутентификация по двум факторам представляет собой минимально приемлемый уровень аутентификации;

доступ к активам, классифицированным обладателем информации как "Конфиденциаль

1 Возможны обстоятельства представления документа практики регулятивным органам.

ные" должен осуществляться только посредством аутентификации по трем факторам. 1 Системы управления из двух факторов с доступом (основанные на биометрии и паролях) должны следовать следующим положениям..."

Хотя документы практики получают свои полномочия от Политики и должны строго соблюдать ее, они являются более изменчивыми, чем документы Политики. Это обусловлено тем, что они подвержены более частным изменениям, возникающим при идентификации новых рисков и мер управления безопасностью. Каждый документ практики имеет ограниченную аудиторию, так как он обычно затрагивает определенную часть организации или организационной единицы и не оказывает влияния на общую программу менеджмента безопасности организации.

Полезно включать в документацию обзорный раздел в котором указывается аудитория и владелец каждого документа практики. Владельцем практики может быть коммерческий директор, руководитель ИТ или руководитель группы технического сопровождения. Полезно также включать сведения о том, как классифицируется информация, связанная с данными практики, так как категория классификации указывает на уровень защиты, необходимый для информации.

5.4.3 Документы операционных процедур обеспечения безопасности

Документы операционных процедур обеспечения безопасности являются производным одного или более документов практики обеспечения безопасности. Объем этих документов различается в зависимости от темы и сложности процедур. Эти документы являются самыми сжатыми по своему объему из всех документов в иерархии документации. Они являются технологически конкретными выражениями того, как реализуется Политика. Документы применяются к реальным бизнес-системам, а определяемые поставщиком подробности о продукции приводятся в зависящей от платформы документации.

Документов операционных процедур должно быть столько, сколько необходимо, но при разработке документов необходимо проследить, чтобы они были полными, точными и целесообразными и чтобы ни один из них не противоречил любой другой практике или Политике. Примерные рекомендации, которые можно найти в очень простом документе процедур может содержать следующие инструкции:

"Используйте команду "pwadmin" для обеспечения соответствия паролей пользователей критериям, установленным в документации Практические приемы аутентификации и управления доступом организации. Дайте следующие команды..."

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3 4 5 6 7 8